Wiemy już, że pracy zdalnej nie trzeba się obawiać: wykonywanie obowiązków pracowniczych w formie zdalnej może być wygodne i efektywne. Co jednak z bezpieczeństwem danych osobowych w takiej sytuacji? Jak skutecznie zabezpieczyć firmę przed wyciekiem danych osobowych podczas pracy zdalnej?
Co powinien zrobić administrator danych osobowych, gdy firma przechodzi na pracę zdalną?
Zgodnie z RODO obowiązkiem administratora danych osobowych jest wdrażanie odpowiednich środków organizacyjnych i technicznych służących ochronie danych. Decyzja o tym, jakie środki zostaną wybrane, powinna być uzależniona od charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych. Powinna również uwzględniać ryzyka i zagrożenia.
Oznacza to, że raz wykonana analiza ryzyka i podjęte środki bezpieczeństwa mogą nie wystarczyć, gdy zmienia się sytuacja w firmie – na przykład gdy zostaje podjęta decyzja o przejściu na pracę zdalną. Administrator danych osobowych powinien wówczas jeszcze raz przeanalizować ryzyko związane
z przetwarzaniem danych i zweryfikować skuteczność stosowanych dotychczas środków.
Praca zdalna jest jedną z tych sytuacji, gdy sposób przetwarzania danych osobowych bardzo często się zmienia. Pracownicy zaczynają korzystać z innych narzędzi: oprogramowania, komunikatorów, dysków w chmurze. Bywa również, że używają do pracy prywatnego sprzętu komputerowego. To wszystko może być potencjalnym źródłem zagrożeń dla przetwarzanych danych firmowych. Może, ale nie musi – pod warunkiem, że administrator danych osobowych zareaguje odpowiednio szybko
i zaproponuje pracownikom skuteczne, a zarazem wygodne rozwiązania.
Jak zadbać o bezpieczeństwo danych osobowych podczas pracy zdalnej?
Sprzęt firmowy: komputery, laptopy, telefony
Jeśli pracownik korzystał do tej pory z laptopa, komputera czy telefonu służbowego w miejscu pracy, to po przejściu na pracę zdalną w kwestii bezpieczeństwa niewiele się zmienia. Podczas wykonywania pracy w formie zdalnej tak samo ważne jest, by sprzęt wykorzystywany do realizacji pracy zdalnej posiadał aktualne oprogramowanie antywirusowe, był zabezpieczony trudnym do złamania
– odpowiednio długim/złożonym hasłem oraz by miał ustawione automatyczne tworzenie kopii zapasowych danych.
Źródłem zagrożeń dla danych osobowych może być sposób, w jaki wykonywana jest praca zdalna: często pracujemy w towarzystwie innych domowników, „przełączamy się” pomiędzy zadaniami służbowymi i prywatnymi. Z tego powodu warto uczulić pracowników na ważne kwestie: odchodząc od komputera, nawet na krótki okres czasu, należy zawsze go zablokować. Nikt, poza pracownikiem, nie powinien znać haseł zabezpieczających sprzęt. Komputera, laptopa czy telefonu służbowego nie powinno się wykorzystywać do celów prywatnych; nie można instalować jakiegokolwiek oprogramowania, bez wiedzy i udziału pracodawcy czy otwierać niezabezpieczonych stron internetowych.
Korzystanie ze służbowej poczty elektronicznej
Podczas pracy zdalnej siłą rzeczy zwiększa się częstotliwość używania poczty elektronicznej. Drogą mailową przesyła się dokumenty, dyskutuje na temat projektów, informuje o ważnych wydarzeniach. Korzystanie z poczty elektronicznej niesie za sobą wiele zagrożeń: pracownikom zdarzają się pomyłki w adresach e-mail i kierowanie informacji do niewłaściwych osób. Poczta firmowa jest także narażona na ataki phishingowe czy przesyłanie zainfekowanych wiadomości e-mail. W sytuacji pracy zdalnej jest to o tyle bardziej niebezpieczne, że czas reakcji zespołu informatycznego może być opóźniony i pochodzący z wiadomości mailowej wirus może zdążyć zniszczyć dane firmowe. Z tego powodu ważne jest, by pracownicy zwracali szczególną uwagę na podejrzane wiadomości e-mail i nie otwierali linków czy plików załączonych do wiadomości e-mail od niezaufanych nadawców.
Do wykonywania obowiązków pracowniczych nie powinno się korzystać z prywatnej poczty elektronicznej. Przesyłając dane osobowe, powinno się zachować szczególną ostrożność. Załączniki powinny być szyfrowane. Hasło pozwalające na otwarcie pliku nie powinno być przesyłane ani w tej samej wiadomości e-mail (wydaje się to oczywiste, ale warto to podkreślić), ani na tę samą skrzynkę mailową. Ze względów bezpieczeństwa lepiej przekazać je inną drogą komunikacji, na przykład podczas rozmowy telefonicznej.
Bezpieczna praca w chmurze
Rozwiązania w chmurze w znacznym stopniu ułatwiają pracę zdalną. Na współdzielonych dyskach może pracować nad dokumentami kilka osób jednocześnie lub przekazywać sobie pliki bez konieczności wysyłania ich za pośrednictwem poczty elektronicznej.
Aby utrzymać bezpieczeństwo danych osobowych na odpowiednim poziomie, warto dokładnie sprawdzić, jaki poziom zabezpieczeń oferuje dostawca rozwiązań w chmurze. Ogólnodostępne, bezpłatne oprogramowanie może być pod tym względem niewystarczające. Do celów biznesowych lepiej sprawdzą się dyski w chmurze tworzone z myślą o firmach, zawierające w standardzie odpowiednie zabezpieczenia dla danych osobowych, na przykład te oferowane przez SupportIT.
Warto pamiętać, że w razie wycieku danych osobowych spowodowanego wyborem niewłaściwych środków technicznych i organizacyjnych, odpowiedzialność spada na administratora danych osobowych. To jeden z powodów, dla których wybór rozwiązania w chmurze warto poprzedzić rzetelnym researchem.
Powiązane posty:
Hosting SupportIT
Bezpieczeństwo klientów oraz płynność działania usług to dla firmy SupportIT priorytet. W tym celu zdecydowaliśmy się przenieść nasze usługi hostingowe na nową znacznie wydajniejszą infrastrukturę. Aktualne wdrożenie pozwala także na wniesienie naszego bezpiecznego hostingu na najwyższy poziom. Nowe narzędzia zapobiegają wielu zagrożeniom w wiadomościach email a także informują nas o podejrzanych sytuacjach jeszcze dokładniej niż do tej pory. W tym artykule opiszemy najważniejsze jawne mechanizmy jakie stosujemy. Na samej poczcie nie poprzestajemy chronimy także strony i serwisy internetowe naszych klientów.
Wdrożenie nauki zdalnej
Zdalna praca, zdalne narady, konferencje, zdalne spotkania. Chcąc spowolnić i ograniczyć rozprzestrzenianie się epidemii koronowirusa hucznie ogłoszono hasło #zostanwdomu. Czy systemy informatyczne były na to gotowe? Poszczególne rozwiązania bardzo szybko zostały zweryfikowane. W pierwszych dniach mieliśmy do czynienia wręcz z nieświadomymi atakami DDoS (zbyt wiele połączeń przychodzących do danej usługi) np. na usługi MobiDziennik, w konsekwencji czego serwery hostujące te usługi często nie były w stanie wysłać nam prawidłowej odpowiedzi i strona nie była wyświetlana.